Las APIs de medición y relevancia de Privacy Sandbox y los controles de usuario actualizados ahora están disponibles de forma general en Chrome. Los participantes del ecosistema preguntaron sobre el enfoque de Chrome en cuanto al cumplimiento de la privacidad con Privacy Sandbox, así como sobre sus propias responsabilidades. Si bien no podemos proporcionar asesoramiento legal, podemos compartir nuestras respuestas a las preguntas frecuentes y brindar información sobre las APIs que pueden ayudar a los responsables de las decisiones del cumplimiento relacionado con la privacidad.
Preguntas y respuestas
¿Los sitios y otros usuarios de las APIs de relevancia y medición de Privacy Sandbox tienen obligaciones de privacidad electrónica?
Las leyes de privacidad electrónica del Espacio Económico Europeo (EEE) y el Reino Unido requieren consentimiento para almacenar o acceder a datos en el navegador de un usuario y desde él, a menos que sea estrictamente necesario, y no diferencian entre tecnologías heredadas, como las cookies de terceros, y las tecnologías emergentes de mejora de la privacidad (PET), como las APIs de Privacy Sandbox.
El uso de cada una de las APIs de Privacy Sandbox implica acceder a los datos que se almacenan en el dispositivo del usuario.
A modo de referencia, las empresas pueden ver cómo los propios servicios de anuncios de Google, que operan de forma independiente de Chrome, incorporan tecnologías de Privacy Sandbox como parte de sus Políticas de Consentimiento de Usuarios de la UE.
¿Los sitios y los llamadores de API pueden confiar en las exenciones de los requisitos de consentimiento de privacidad electrónica?
Las exenciones de los requisitos de consentimiento en las leyes de privacidad electrónica son limitadas y, por lo general, se limitan a casos de uso que son "estrictamente necesarios" para la prestación de un servicio en línea que el usuario solicitó de forma explícita. Según entendemos, el uso de las APIs de Privacy Sandbox para fines de publicidad basada en intereses no está exento de obtener el consentimiento.
Esperamos que solo un pequeño subconjunto de casos de uso se considere estrictamente necesario, por ejemplo, usar la API de Private State Tokens para la seguridad de la cuenta o la prevención de spam, o usar la API de Federated Credential Management para la autenticación. El uso de estas APIs para otros fines requeriría un análisis independiente y es probable que requiera el consentimiento del usuario. Es tu responsabilidad determinar si tu caso de uso en particular está exento, teniendo en cuenta las reglamentaciones locales y la guía reglamentaria de protección de datos cuando corresponda en tu evaluación. Incluso si concluyes que tu caso de uso está exento de los requisitos de privacidad electrónica, debes proporcionar información clara a los usuarios sobre el uso de las APIs de conformidad con las leyes de protección de datos europeas.
¿Debo informar a los usuarios cuando uso las APIs de Privacy Sandbox?
Cada vez que uses las APIs de Privacy Sandbox, debes asegurarte de ser justo y transparente. La transparencia y la equidad son particularmente importantes si usas las APIs de Privacy Sandbox para identificar los intereses de un público o una persona específicos, en particular para influir en su comportamiento. Los usuarios no siempre comprenden cómo se usó su información de esta manera, por lo que es posible que debas tomar medidas adicionales para llamar su atención. Se aplican requisitos de información específicos cada vez que solicitas el consentimiento de las personas para usar las APIs. Sin embargo, incluso si tu caso de uso está exento de los requisitos de consentimiento (p.ej., porque es estrictamente necesario proporcionar un servicio que solicitó el usuario), debes proporcionarles información clara a los usuarios sobre el uso de las APIs.
¿Cómo solicito el consentimiento del usuario final para las APIs de Privacy Sandbox?
El uso de cada una de las APIs de Privacy Sandbox implica acceder a los datos que se almacenan en el dispositivo del usuario. Las leyes de privacidad en línea requieren que obtengas el consentimiento del usuario final antes de acceder a estos datos, al igual que necesitas el consentimiento para las cookies. Esperamos que la mayoría de las empresas dependan de las plataformas de administración de consentimiento para obtener el consentimiento de las APIs, de manera similar a como buscan el consentimiento para las cookies en la actualidad. Es tu responsabilidad obtener el consentimiento para tu propio acceso y uso de las APIs de Sandbox, incluidos los temas. No es suficiente que el usuario haya aceptado activar Temas en su dispositivo: debes obtener tu propio consentimiento, específico para tus actividades. Cuando solicites el consentimiento, debes ser claro sobre cómo usarás las APIs. Es particularmente importante que destaques cualquier uso de temas (o las otras APIs) para fines no relacionados con los anuncios, ya que es posible que los usuarios no lo esperen. También debes asegurarte de que los usuarios finales puedan retirar su consentimiento de forma fácil y en cualquier momento.
¿Los usuarios pueden retirar su consentimiento o controlar de alguna otra forma las APIs de relevancia y medición de Privacy Sandbox?
Sí. Los usuarios pueden acceder a chrome://settings/adPrivacy, que proporciona controles individuales y detallados para desactivar las APIs de Privacy Sandbox y bloquear temas individuales y sitios específicos para que no establezcan grupos de interés. Los usuarios pueden borrar los datos de medición de anuncios borrando los datos de navegación.
Los sitios deberán determinar qué opciones ofrecen a los usuarios, cómo se almacenan esas preferencias, cómo se indica la preferencia de un usuario a los proveedores de tecnología publicitaria del sitio que pueden llamar a las APIs de Privacy Sandbox y cómo se responsabiliza a esos proveedores. Los sitios y sus proveedores deberán decidir qué significa la elección de un usuario en términos de si se usa una API de Privacy Sandbox determinada y cómo se usa.
Algunos programas de autorregulación basados en la inhabilitación, como AdChoices, dependen de cookies de terceros. Te recomendamos que les preguntes a esos programas cómo se están preparando para la baja de las cookies de terceros.
¿Las elecciones de los usuarios relacionadas con Privacy Sandbox se pueden conservar en todos los sitios?
Los usuarios pueden acceder a chrome://settings/adPrivacy, que proporciona controles para desactivar por completo las APIs de Privacy Sandbox o bloquear temas individuales. Los usuarios pueden borrar los datos de medición de anuncios borrando los datos de navegación.
Los sitios deberán determinar si se responsabilizan de extender las elecciones de los usuarios expresadas en sus propios sitios al resto de la Web. Algunos programas de autorregulación basados en la inhabilitación, como AdChoices, tienen como objetivo ofrecer a los usuarios opciones sobre cómo las empresas de tecnología publicitaria procesan los datos de los usuarios en todos los sitios (como la publicidad basada en intereses). Tradicionalmente, esos programas son específicos para las empresas de tecnología publicitaria que deciden participar, y no para los sitios. Te recomendamos que les preguntes a esos programas cómo se están preparando para la baja de las cookies de terceros.
¿Los usuarios pueden borrar datos relacionados con las APIs de relevancia y medición de Privacy Sandbox?
Los usuarios pueden acceder a chrome://settings/adPrivacy, que proporciona controles individuales y detallados para desactivar las APIs de Privacy Sandbox, bloquear temas individuales y evitar que sitios específicos establezcan grupos de interés. Los usuarios pueden borrar los datos de medición de anuncios si borran los datos de navegación. Además, Chrome borrará automáticamente los temas de interés, los grupos de intereses y los eventos de informes de los usuarios después de un período determinado.
Para los sitios y otros llamadores de la API de relevancia y medición de Privacy Sandbox, están disponibles las siguientes funciones técnicas:
- En el caso de Protected Audience, un sitio o su tecnología publicitaria que puede agregar grupos de interés desde este sitio también puede llamar a la función
leaveAdInterestGroup. - En el caso del almacenamiento compartido, un sitio o su tecnología publicitaria pueden llamar al método
deleteen una clave o al métodoclearpara borrar todas las claves. - En el caso de la API de Attribution Reporting, un sitio o su tecnología publicitaria pueden usar el encabezado
Clear-Site-Data.
Los sitios y otros usuarios que llaman a la API deberán determinar si sus mecanismos actuales para los derechos de eliminación son adecuados si eligieron almacenar datos recuperados de las APIs de Privacy Sandbox o datos relacionados con las llamadas a las APIs.
¿Cómo aborda Privacy Sandbox el cumplimiento relacionado con la privacidad en Chrome?
En el caso de Temas, esta es una experiencia nueva para los usuarios de Chrome, y Chrome quería brindarles un momento independiente para que los usuarios aprendan y elijan lo que más les convenga. Topics marca una nueva forma para que Chrome habilite experiencias relevantes según el historial de navegación de un usuario. Chrome tomó la decisión de solicitar el consentimiento de los usuarios del Reino Unido, el EEE y Suiza antes de habilitar la API.
Las APIs de Protected Audience y de medición representan versiones más privadas de los comportamientos de procesamiento existentes, tanto dentro del navegador como en entornos protegidos y de confianza. En general, todos los usuarios tendrán controles sólidos y podrán inhabilitar la experiencia de Privacy Sandbox en cualquier momento.
Obtén más información sobre los controles de anuncios de Privacy Sandbox en nuestro Centro de ayuda.
Más información sobre la API
Obtén más información sobre las APIs de relevancia y medición de Privacy Sandbox:
- Topics: Genera indicadores para la publicidad basada en intereses sin cookies de terceros ni otros identificadores de usuario que hagan un seguimiento de las personas en los sitios.
- Protected Audience: Selecciona anuncios para publicar casos de uso de remarketing y públicos personalizados, diseñados para mitigar el seguimiento de terceros en los sitios.
- Informes de atribución: Correlaciona los clics o las vistas de anuncios con las conversiones. Las tecnologías publicitarias pueden generar informes a nivel del evento o de resumen.
- Agregación privada: Genera informes de datos agregados con datos de Protected Audience y datos entre sitios de Shared Storage.
- Almacenamiento compartido: Permite acceso de escritura ilimitado y entre sitios con acceso de lectura que preserva la privacidad.
- Marcos protegidos: Incorpora contenido de forma segura en una página sin compartir datos entre sitios.